VAHTI 2/2015 Ohje salauskäytännöistä

 

VAHTI 2/2015 Ohje salauskäytännöistä

PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO
Puhelin 0295 16001 (vaihde) Internet: www.vm.fi
Taitto: Valtioneuvoston hallintoyksikkö/Tietotuki- ja julkaisuyksikkö/Pirkko Ala-Marttila
ISSN 1459-3394 (nid.)
ISBN 978-952-251-725-8 (nid.) ISSN 1797-9714 (pdf)
ISBN 978-952-251-726-5 (pdf)
Lönnberg Print & Promo, 2015


Ministeriöille, virastoille ja laitoksille

Ohje salauskäytännöistä

 Valtiovarainministeriön antaman Ohjeen salauskäytännöistä (VAHTI2/2015) tavoitteena on kehittaä viranomaisten salassa pidettävän tiedon suojaamista. Kansainvälisten tietoturvavelvoitteiden piirissä olevien tietoaineistojen salauksessa noudatetaan kansallisen turvallisuusviranomaisen antamia määräyksiä.

Ohje on laadittu valtionhallinnon ja julkisen hallinnon organisaatioille, mutta sitä voidaan käyttää myös laajemmin kehitettäessä yksityisten organisaatioiden tiedon salausta.

Ohje tukee tiedon salaamisen suunnittelua, käyttöönottoa, toteuttamista ja ylläpitoa julkisen hallinnon hankkimissa ja käyttämissä ICT-palveluissa ja -ratkaisuissa.

Ohje edistää osaltaan Suomen kyberturvallisuusstrategian täytäntöönpanoa ja ohjeen julkaiseminen on osa Suomen osalistumista Euroopan unionin kyberturvallisuuskuukauteen.

Ohjeen on valmistellut Valtionhallinnon tieto-ja kyberturvallisuuden johtoryhmän alaisuudessa toimiva tekninen jaosto.

Lisätietoja ohjeesta antavat
Kimmo Rousku,VAHTI-pääsihteeri, teknisen jaoston puheenjohtaja
Aarne Hummelholm, teknisen jaoston varapuheenjohtaja (etunimi.sukunimi@vm.fi)

Kunta- ja uudistusministeri
Anu Vehviläinen

Yksikön päällikkö     
VAHTI:n puheenjohtaja    
Aku Hilve

Esipuhe

Kyber- ja tietoturvallisuuden merkitys sekä näihin liittyvien ongelmien uutisointi on kasvanut lähes eksponentiaalisesti viimeisten kolmen vuoden aikana. Uutisissa nostetaan esille lähinnä toteutuneita uhkakuvia, jotka ovat heijastuneet esimerkiksi:

 

  • erilaisina salassa pidettävää tai taloudellista tietoa koskevina tietomurtoina, kuten mittavina hyökkäyksinä kauppojen sähköisiä maksujärjestelmiä vastaan
  • organisaation liiketoimintaa haittaavina palvelunestohyökkäyksinä, joissa usein on taustalla taloudellisen edun tavoittelu esimerkiksi kohdeorganisaatiota kiristämällä
  • tiedusteluorganisaatioiden toimina, joissa yritetään kerätä hyökkääjää kiinnostavaa tietoa pysyen mahdollisimman pitkään salassa
  • yksityishenkilöihin kohdistuvina kampanjoina, joilla yritetään saavuttaa taloudellista hyötyä, esimerkiksi kalastelemalla pankki- tai muiden järjestelmien käyttäjätunnuksia ja salasanoja
  • lunnashaittaohjelmina (”ransomware”), joilla käyttäjän päätelaite kaapataan rikollisen käyttöön asentamalla siihen haittaohjelma, joka salaa kaiken päätelaitteella olevan tiedon ja estää laitteen käytön; rikollinen lupaa poistaa haittaohjelman, jos käyttäjä maksaa vaaditun lunnassumman. Valitettava kehityssuunta on se, että lunnashaittaohjelmat voivat kaapata yksittäisen päätelaitteen sijaan koko organisaation tai ainakin osan organisaation keskeisistä palvelimista, tietojärjestelmistä tai palveluista. 

Suojaus, sen puute tai huono toteutus päätyvät säännöllisesti myös uutisiin. Kenties yleisin esimerkki on tietomurto verkkopalveluun, jonka käyttäjätietokannassa olevat salasanat ovat vuotaneet murtautujalle; väärällä tavalla salatut salasanat puretaan ja murtautuja julkaisee ne selväkielisinä.

Edellisten lisäksi nopeasti kasvava uhka on yritysten maksuliikenne- tai muihin talousjärjestelmiin murtautuminen ja asiakas- tai luottokorttitietojen varastaminen sekä niiden hyödyntäminen rikollisesti.

Kaikki edellä olevat esimerkit ovat sellaisia, jotka uhkaavat myös julkishallinnon toimintaa ja tietoja. Tiedon salaaminen liittyy osittain kaikkiin edellä mainittuihin esimerkkeihin. Eräs tämän vuosikymmenen loppupuolen keskeisiä suuntauksia tuleekin olemaan tiedon salauksen merkityksen kasvu ja sen käytön laajentuminen.

Hyvä esimerkki salaustarpeesta on pilvipalvelu, jossa salassa pidettävät tiedot sijaitsevat organisaation ulkopuolella, mahdollisesti ulkomailla, ja niitä käytetään internet-verkon ylitse. Pilvipalveluiden käyttöä voidaan laajentaa siinä vaiheessa, kun niissä on mahdollista käyttää asiakkaan tarkastamaa ja hyväksymää tiedon salausratkaisua. Lisäksi salaukseen liittyvä avaintenhallinta tulee toteuttaa siten, että myös se täyttää kaikki asiakkaan edellyttämät vaatimukset.

Kuten kaikessa toiminnassa, myös salauksen suunnittelussa, toteutuksessa, käyttöönotossa ja ylläpidossa tulee hyödyntää riskienhallintaa sekä ottaa huomioon lakisääteiset ja organisaation liike- tai ydintoiminnan vaatimukset sekä mahdolliset haasteet, joita käytettävä salaus saattaa sille asettaa.

Tietojen salaus tulee huomioida myös organisaation arkkitehtuurisuunnittelussa ja -toteutuksessa siten, että organisaatio kehittää ja hyödyntää salausteknologiaa suunnitelmallisesti osana arkkitehtuurinsa kehittämistä.

Termiä tiedon salaus käytetään hyvin laajassa merkityksessä. Tässä ohjeessa on pyritty nostamaan esille niitä asioita, joita oikealla tavalla toteutettu salausratkaisu edellyttää. On olemassa huonosti toteutettuja salauksia, mutta myös sellaisia salausratkaisuja, jotka ovat laadukkaita ja joissa on pyritty huomioimaan käsiteltävänä olevan tiedon koko elinkaari. Elinkaari voi olla hyvinkin lyhyt tai vastaavasti kymmeniä vuosia.

Tämän ohjeen on laatinut Valtion tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) asettama tekninen jaosto. Ohje on hyväksytty VAHTI-johtoryhmän kokouksessa 18.8.2015.

 

Tulosta